Sicherheitslücke Litespeed-Cache: wp-cleansong

Inhaltsverzeichnis
WordPress langsam?
Wir regeln das für dich!
Inhaltsverzeichnis

Die neue Sicherheitslücke in Plugin Litespeed-Cache, sorgt seit dafür, dass WordPress Websites mit Malware befallen wurden. In diesem Beitrag erfährst du weitere Informationen über den Befall.

Sicherheitslücke

Plugin: litespeed-cache (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N)

Betroffene Version: 5.7

Gepatchte Version: 5.7.0.1

Mehr Informationen gibt es auch unter wp-content/plugins/litespeed-cache/readme.txt nachzusehen.

Symptome

  • Erstellung von Admin-Benutzern
  • Umleitungen, die von js generiert werden, die über die Funktion clean_header() in wp_head eingehängt werden
  • infizierte Kerndateien wie wp-blog-header.php

Ausführung

Angreifer können durch das WordPress Plugin beliebige Webskripte in Seiten einfügen, die ausgeführt werden, sobald sich ein Administrator zum ersten Mal in seinem WordPress Dashboard anmeldet. Das Plugin installiert sich dabei am selben Tag und zur selben Uhrzeit als die Anmeldung erfolgt ist.

Nachvollziehen kann man das Ganze in der access.log Datei.


php use a base64 url =base64_decode("aHR0cHM6Ly9kbnMuc3RhcnRzZXJ2aWNlZm91bmRzLmNvbS9zZXJ2aWNlL2YucGhw"); point to hxxps://dns[.]startservi**founds[.]com/service/f.php (url auf der schwarzen Liste)

Quellen

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/litespeed-cache/litespeed-cache-57-reflected-cross-site-scripting-via-nameservers-and-msg

https://www.reddit.com/r/Wordpress/comments/1balppf/wpcleansong (User: gemedj89)

https://www.risorsainformatica.com/rimozione-malware-sito-wordpress/

Hinweise

Erstmals entdeckt am 27. Februar 2024

Vorbeugung

  • Update auf die neueste Version des Litespeed-Cache-Plugins
  • HTTP(S)-Überwachung für /plugins/wp-cleansong/plane.php
  • Blockiere mit htaccess die Anfragen an song und song1

RewriteEngine On
RewriteCond %{QUERY_STRING} song1 [NC,OR]
RewriteCond %{QUERY_STRING} song2 [NC]
RewriteRule ^ - [F]
  • Zudem kannst du auch plane.php blockieren

Malware-Entfernung

Solltest du Probleme bei der Malware Bereinigung haben, kannst du als WPspace Kunde auf unsere Malware Entfernungsservice zurückgreifen. Dabei scannt unser Team deine WordPress-Installation nach Malware und bereinigt diese bestmöglich.

Solltest du unsere Malware Bereinigung in Anspruch nehmen wollen, kannst du uns einfach eine Nachricht über den Support Chat auf wp-space.de schreiben. Dabei entstehen einmalige Kosten in Höhe von 250 € zzgl. USt.

Was beinhaltet der Malware Bereinigung?

  1. Wir überprüfen und untersuchen die verdächtigen Dateien gewissenhaft.
  2. Wir bereinigen deine WordPress Seite und entfernen dabei den Schadcode, sowie die neu angelegten Benutzer und treffen weitere Maßnahmen, um deine WordPress Website zu schützen.
  3. Wir informieren dich, sobald die Arbeiten abgeschlossen sind.
  4. Solltest du hinterher noch immer Probleme damit haben, kannst du uns einfach kontaktieren.
Bild von Axel Riethmüller
Axel Riethmüller
Als selbstständiger Webdesigner und Mitarbeiter von WPspace weiß ich ganz genau, worauf es beim Thema WordPress, Webdesign und Marketing ankommt.

Bei Links, die mit einem * markiert sind, handelt es sich um Affiliate Links. Wenn du ein Produkt über diesen Link kaufst, bekommt WPspace eine kleine Provision. Dir entstehen dadurch keine zusätzlichen Kosten oder Nachteile! Das hat keinerlei Einfluss auf unsere Meinung zu einzelnen Produkten und Dienstleistungen – wir empfehlen euch nur, was wir auch selbst lieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert